问题[subnet](server)

即使没有设置隧道 IP 地址，Wireguard 也能正常工作，即设置 AllowedIP、端​​点地址、私钥和公钥就足够了。

在OpnSense的文档中，有以下警告：

注意：隧道地址必须采用 CIDR 表示法，并且必须是您网络的唯一 IP 和子网。[..]不要使用 /32 (IPv4) 或 /128 (IPv6) 隧道地址

pfSense 有一个可能的解释：

pfSense 文档：

注意：路由不会在系统路由表中自动创建。隧道网络本身以外的网络的路由必须使用静态或动态路由单独配置。

在互联网上搜索并没有得到很多解释：

• Reddit：关于子网掩码的困惑
• Reddit：用作 VPN 服务器时有关 /24 和 /32 的帮助
• Reddit：/8、/16 等之间的差异……它们的用途是什么？

该子网似乎没有任何功能，我们做了一些测试：

• 它与本地流量路由无关，即路由到第二个连接的对等点可以在有和没有包含两个对等点的子网的情况下工作。
• 它与“停留在界面上”与通过内核无关。在这两种情况下，我们都可以使用防火墙规则来控制流量。

那么，隧道ip中子网掩码的作用是什么？

所以我最终想在 AWS 上设置一个经典的负载均衡器，并且我有一个带有 2 个公共子网的 VPC，但是现在我不确定我是否可以将这两个子网用于那个 EC2 实例，还是需要两个 ec2 实例？

我在两台设备之间设置 IP 地址时发现了一些奇怪的东西。我觉得我在这里错过了一个重要的基础：

上下文：
设备 A：10. 30 .0.1/12
设备 B：10. 2 .0.2/12

如果我这样设置IP，那么A和B不能互相ping通

但是，如果我执行
设备 A：10. 30 .0.1/12
设备 B：10. 30 .0.2/12
或
设备 A：10. 2 .0.1/12
设备 B：10. 2 .0.2/12

然后A和B就可以互相ping通了。我的理解是，使用 /12 网络掩码，通配符掩码是 0.15.255.255，因此第二个八位字节可以是 0 到 127 之间的任何值。

这里创建了两组有效 IP 还是白名单？

我正在从 VLAN1 上的单个 10.1.0.0/16 子网迁移到单独的 VLAN

在现有的 /16 子网中是我们的 Cisco Mail Security (ESA)。

在客户端的新 VLAN 段（10.101.10.0/24，VLAN6）中，除了访问 ESA 之外，我几乎可以做任何事情。没有 ping 也没有通过 HTTP(s) 访问。其他服务器和服务可以从 VLAN1 完全访问

思科支持人员表示 ESA 的配置没有问题。

网络完全是思科。

ESA 的网络/IP 接口设置：

10.1.30.188/16

我还尝试使用配置 10.101.10.250/24 添加单独的 NIC，但它没有解决任何问题

Coreswitch上的VLAN配置：

show run interface vlan 1
interface Vlan 1
ip address 10.1.0.253 255.255.0.0
end

show run interface vlan 6
!
interface Vlan 6
description LAN-Clients
ip address 10.101.10.253 255.255.255.0
ip helper-address 10.1.30.84
no ip route-cache
end

固件是 Cisco ASA 5508-X

该问题也适用于同一管理程序上的 VLAN8 测试虚拟机。Cisco ASA 的管理由外部管理。

这是 Coreswitch 的 ping 测试：

CiscoCORE#ping 10.1.30.188 键入转义序列以中止。

向 10.1.30.188 发送 5 个 100 字节的 ICMP Echo，超时为 2 秒：！！！！！！

成功率为 100% (5/5)，往返 min/avg/max = 1/1/4 ms

CiscoCORE#ping 10.1.30.188 source vlan8 键入转义序列以中止。

向 10.1.30.188 发送 5 个 100 字节的 ICMP Echo，超时为 2 秒：发送的数据包源地址为 10.8.0.253 .....

成功率为 0% (0/5)

问题出在哪里？

更新：感谢@Tero Kilkanen 的评论，我添加了一些信息和测试。我还没有想到 ASA 方面可能存在的问题，但这可能是重点

更新：我终于做到了。 在重新检查 IP 接口后（我当然也在 VLAN6 中创建了一个带 IP 的接口）我尝试通过 SSH 创建它（使用相同的设置）

之后我可以从 Vlan6 访问它也许 IP 接口必须通过 SSH 而不是 Web GUI 创建。我没有设置任何不同的东西

我正在尝试在 azure 上创建两台带有 terraform 的 centos 8 机器。

我的模板 github链接

当我尝试申请时，我遇到了与政策相关的错误。你能建议如何解决这个问题吗？

>     │ Error: creating Subnet: (Name "subnetforAutomation" / Virtual Network Name "vnetforAutomation" / Resource Group "automation_mart"):
> network.SubnetsClient#CreateOrUpdate: Failure sending request:
> StatusCode=0 -- Original Error: Code="RequestDisallowedByPolicy"
> Message="Resource 'subnetforAutomation' was disallowed by policy.
> Policy identifiers:
> '[{\"policyAssignment\":{\"name\":\"Deny-Subnet-Without-Nsg\",\"id\":\"/providers/Microsoft.Management/managementGroups/QSFT-landingzones/providers/Microsoft.Authorization/policyAssignments/Deny-Subnet-Without-Nsg\"},\"policyDefinition\":{\"name\":\"Subnets
> should have a Network Security Group
> \",\"id\":\"/providers/Microsoft.Management/managementGroups/QSFT/providers/Microsoft.Authorization/policyDefinitions/Deny-Subnet-Without-Nsg\"}}]'."
> Target="subnetforAutomation"
> AdditionalInfo=[{"info":{"evaluationDetails":{"evaluatedExpressions":[{"expression":"type","expressionKind":"Field","expressionValue":"Microsoft.Network/virtualNetworks/subnets","operator":"Equals","path":"type","result":"True","targetValue":"Microsoft.Network/virtualNetworks/subnets"},{"expression":"Microsoft.Network/virtualNetworks/subnets/networkSecurityGroup.id","expressionKind":"Field","operator":"Exists","path":"properties.networkSecurityGroup.id","result":"True","targetValue":"false"}]},"policyAssignmentDisplayName":"Deny-Subnet-Without-Nsg","policyAssignmentId":"/providers/Microsoft.Management/managementGroups/QSFT-landingzones/providers/Microsoft.Authorization/policyAssignments/Deny-Subnet-Without-Nsg","policyAssignmentName":"Deny-Subnet-Without-Nsg","policyAssignmentScope":"/providers/Microsoft.Management/managementGroups/QSFT-landingzones","policyDefinitionDisplayName":"Subnets
> should have a Network Security Group
> ","policyDefinitionEffect":"Deny","policyDefinitionId":"/providers/Microsoft.Management/managementGroups/QSFT/providers/Microsoft.Authorization/policyDefinitions/Deny-Subnet-Without-Nsg","policyDefinitionName":"Deny-Subnet-Without-Nsg"},"type":"PolicyViolation"}]
> 
>     │
>     │   with azurerm_subnet.subnet,
>     │   on main.tf line 24, in resource "azurerm_subnet" "subnet":
>     │   24: resource "azurerm_subnet" "subnet" {
>     │

我尝试保持内联，即 vnet 内的子网。在计划阶段本身从 VM 实例资源块中引用子网时，问题就出现了。

 Error: Unsupported attribute
│
│   on network.tf line 26, in resource "azurerm_network_interface" "example":
│   26:     subnet_id                     =  azurerm_virtual_network.vnet.subnet.id #azurerm_subnet.subnet.id
│
│ Can't access attributes on a set of objects. Did you mean to access an attribute across all elements of the set?
╵

//main.tf

## <https://www.terraform.io/docs/providers/azurerm/r/windows_virtual_machine.html>
resource "azurerm_windows_virtual_machine" "example" {
  name                = var.machine_details.name
  computer_name       = var.machine_details.name
  resource_group_name = azurerm_resource_group.rg.name
  location            = azurerm_resource_group.rg.location
  size                = var.machine_details.size
  admin_username      = var.machine_details.username
  admin_password      = var.machine_details.password
  network_interface_ids = [
    azurerm_network_interface.example.id,
  ]

  os_disk {
    caching              = "ReadWrite"
    storage_account_type = "Standard_LRS"
  }

  source_image_reference {
    publisher = "MicrosoftWindowsServer"
    offer     = "WindowsServer"
    sku       = "2019-Datacenter"
    version   = "latest"
  }
}

//网络.tf

## <https://www.terraform.io/docs/providers/azurerm/r/virtual_network.html>
resource "azurerm_virtual_network" "vnet" {
  name                = "vNet"
  address_space       = ["10.0.0.0/16"]
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name

subnet{
 name = "internal"
 address_prefix     = "10.0.2.0/24"
 security_group = azurerm_network_security_group.example.id
}

}


## <https://www.terraform.io/docs/providers/azurerm/r/network_interface.html>
resource "azurerm_network_interface" "example" {
  name                = "example-nic"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name

  ip_configuration {
    name                          = "internal"
    subnet_id                     =  azurerm_virtual_network.vnet.subnet.id #azurerm_subnet.subnet.id
    private_ip_address_allocation = "Dynamic"
    public_ip_address_id          = azurerm_public_ip.myvm1publicip.id
  }
}

resource "azurerm_public_ip" "myvm1publicip" {
  name                = var.public_ip.name
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  allocation_method   = var.public_ip.allocation_method
  sku                 = var.public_ip.sku
}

resource "azurerm_network_security_group" "example" {
  name                = var.nsg
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  security_rule {
    name                       = "test123"
    priority                   = 100
    direction                  = "Inbound"
    access                     = "Allow"
    protocol                   = "Tcp"
    source_port_range          = "*"
    destination_port_range     = "*"
    source_address_prefix      = "*"
    destination_address_prefix = "*"
  }
}

//提供者.tf

## <https://www.terraform.io/docs/providers/azurerm/index.html>
provider "azurerm" {
  features {}
}

//rg.tf

## <https://www.terraform.io/docs/providers/azurerm/r/resource_group.html>
resource "azurerm_resource_group" "rg" {
  name     = "TerraformTesting2"
  location = var.location
}

//变量.tf

variable "location" {
  type        = string
  description = "Azure Region where all these resources will be provisioned"
  default     = "eastus2"
}

variable "public_ip" {
 

  default = {
      name              = "pip1"
      allocation_method = "Dynamic"
      sku               = "Basic"
    }
  
  
}

variable "nsg" {
  type        = string
  description = "Azure NSG"
  default     = "example-nsg"
}

variable "machine_details" {
  
  default = {
      name             = "example-vm2"
      size = "Standard_E2s_v3" #"Standard_F2"
      username               = "adminnasme"
      password = "MyPaword!@3"
    }
  
}

如上图所示，我可以选择任意数量的子网。这是否意味着，服务中的任务是跨这两个子网创建的？

假设我有一个任务正在运行，那么它将在哪个子网中运行？如果服务中有多个任务，它们是如何分布在这些子网之间的？这是 Fargate 处理的事情，我们不应该担心吗？

如果我选择一个公共子网和一个私有子网怎么办，我猜在这种情况下会一团糟。

抱歉，如果这些是菜鸟问题，我是 AWS 新手。

在 ipv4 cidr 表示法中，您可以使用 10.10.20.0/24 这样的 IP 地址

它扩展到

network  : 10.10.20.0
first ip : 10.10.20.1
last ip  : 10.10.20.254
broadcast: 10.10.20.255
netmask  : 255.255.255.0

这意味着我在这个子网上有一个 10.10.20.1-.254 的可用 IP 范围。

10.10.20.0 会成为该子网的默认网关吗？

我想在 ALB 后面公开一个 EC2 服务，流程看起来像

User -> Route53(Domain) -> ALB -> EC2

EC2 应该存在哪个子网？私人的还是公众的？在这种情况下，是否需要 EIP？

我试图更好地了解网络并帮助我了解我正在从事一个家庭项目，我想在该项目中设置两个网络，我们称它们为客户端和服务器，位于同一地理位置。（两个网络都从一个 WAN 获取 Internet，因为我无法从我的 ISP 获取多个 IP。）这两个网络应该彼此分开，这意味着我想防止恶意软件或其他威胁在网络中传播。

话虽如此，我仍在尝试允许特定客户端能够定期管理来自客户端网络的服务器。

我当然可以物理地在网络之间切换客户端，但它看起来很乱。我的想法是创建一个 VPN 隧道，但我很好奇是否有其他/更好的选择。

我可以使用三个路由器和一些交换机，我的问题是

1. 子网划分或 VLAN 是分隔网络的更好选择吗？我最近阅读了很多关于这两个方面的内容，但无法决定哪种方案最适合这种情况。
2. VPN 是客户端访问服务器网络的最安全方式，还是允许它始终访问两个网络同样安全？
3. 路由器是否需要与其父路由器具有单独的 IP 或网关 IP 是否足够？
4. 我真的需要三台路由器，还是只需要一台就足够了？

我在下面链接了一张图片以阐明我的预期设置。如果这个问题对于这个论坛来说太深入，请告诉我。我很乐意自己学习，但需要一些关于从哪里开始寻找的指示。

预期的网络设计

我在 AWS 上的不同 AZ 中放置了虚拟机。为了能够做到这一点，您需要在每个 AZ 中都有一个子网。

如果我为整个设置（即与所有子网关联）创建网络 acl，我是否需要指定所有子网 CIDR 范围的允许规则？如果我不这样做，网络 acl 会根据我的端口规则阻止子网间流量吗？

我假设他们会......但需要确认。